Die nach wie vor offene, kritische Flash-Lücke wird in der kommenden Woche abgedichtet werden, wie Adobe in einer Sicherheitsmeldung verlauten lässt. Momentan wird diese Sicherheitslücke (CVE-2015-0311) aktiv für Angriffe verwendet. Von mehreren Lesern hat heise Security Hinweise erhalten, dass dessen Rechner bereits zum Opfer solcher Angriffe gefallen sind. Wann genau das Update erscheinen soll, nannte Adobe nicht, aber es soll "in der Woche beginnend am 26. Januar" erfolgen.

Nutzer sollten, bis das Update erscheint, den Flash Player besser deinstallieren. Die Lücke kann von Angreifern missbraucht werden, um aus der Ferne beliebigen Code in das System des Opfers einzuschleusen. Gelangt ein Nutzer auf eine Webseite, auf der über Flash Schadcode verteilt wird, z.B. durch Werbe-Banner von Drittseiten, ist es schon zu spät. Daher sollte der Flash-Player bis auf weiteres deinstalliert werden.

Darüber hinaus bringt Google Chrome eine eigene Kopie des Plug-ins mit, die über die die URL chrome://plugins/ abschaltet werden kann. Für den Internet Explorer unter Windows 8 und aufwärts gilt das gleiche. Über das Zahnrad-Symbol oben rechts, "Add-Ons verwalten", "Shockwave Flash Object" kann der Dialog zum Deaktivieren erreicht werden.

Damit Nutzer in der Zeit, bis das Update erscheint, nicht ganz auf Flash verzichten möchten oder können, bieten die meisten Browser eine Option namens Click-to-play, mit der Plug-ins erst ausgeführt werden, nachdem mit der Maus auf einen Platzhalter geklickt wird. Bei Adobe kann getestet werden, ob der derzeit genutzte Browser das Flash-Plugin ausführt.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE